Beim Online-Banking der Sparkassen reicht allein Anmeldename und Passwort um ins Online-Banking zu kommen.
Eine Mobilnummer ist dafür nicht erforderlich!
Wenn man dann im Online-Banking ist, braucht es 'nur' noch eine TAN um z.B. eine neue Mobilnummer zu hinterlegen.
Bei mir ist das anders. Funktioniert nur mit 2FA mit S-pushTAN.
Vielleicht unterscheidet sich das von Sparkasse zu Sparkasse.
Bei mir ist das anders. Funktioniert nur mit 2FA mit S-pushTAN.
Vielleicht unterscheidet sich das von Sparkasse zu Sparkasse.
Ok, bei der NOSPA und der HASPA funktioniert es auch ohne 2FA.
Ok, bei der NOSPA und der HASPA funktioniert es auch ohne 2FA.
Meine Aussage bezieht sich auf die Ostsächsische.
Die Kenntnis der Mobilfunknummer reicht alleine nicht aus.
Doch, reicht aus. Denn die Nummer kann auf ein eigenes Gerät "entführt" werden, s. https://www.zeit.de/digital/da…ng-hacker-konten-mtan-ss7
mTAN gilt schon lange als geknackt und sollte daher am besten nicht mehr verwendet werden. Viele Banken bieten das Verfahren auch nicht mehr an.
Es geht hier aber nicht um mTAN, also eine TAN, die von der Bank an die Telefonnummer geschickt wird, sondern um eine TAN, die von der Bank-App auf dem Gerät erzeugt wird.
Schon klar,
es gibt aber immer wieder Fälle, bei denen durch einen gefakten Anruf eines 'Bankmitarbeiters' ein so großer emotionaler Druck beim Bankkunden aufgebaut wird (z.B. Konto wird gerade 'leergeräumt'), dass eine TAN-Freigabe seitens des Kunden erfolgt. Und dann ist es leider zu Spät.
Und ja, natürlich ist der Kunde selbst schuld. Aber es wird den Verbrechern auch leichter gemacht als es sein könnte. Schon eine Anmeldung am Online-Banking ohne 2FA-Authentifizierung ist einfach unnötig unsicher. Die Sparkassen sollten Ihr System den aktuellen Sicherheitsanforderungen anpassen.
Selbst bei uns in der Firma ist 2FA-Authentifizierung notwendig um Email oder andere Systeme aufzurufen.
Ohne TAN kann niemand bei der Sparkasse das Konto leerräumen.
Ich verstehe nicht ganz, wieso das Verfahren bei der Sparkasse weniger sicher sein soll als z.B. das Verfahren bei der DKB.
Sparkasse
Hacker loggt sich mit den Zugangsdaten ein.
Ohne TAN sieht er nur den Kontostand und die Umsätze der letzten 60 Tage.
Möchte er jetzt ein neues Geräte verknüpfen oder Geld überweisen braucht der Hacker die TAN vom Kunden.
DKB
Hacker loggt sich mit den Zugangsdaten ein.
Jetzt schwatzt er dem Kunden die TAN ab und macht genauso weiter wie bei der Sparkasse.
Übrigens gab es erst vor kurzem einen Bericht in der Zeitung, wie ein DKB Kunde genauso gehackt wurde.
Siehe hier:
https://www.anwalt.de/rechtsti…g-gepluendert-185285.html
DKB
Hacker loggt sich mit den Zugangsdaten ein.
Jetzt schwatzt er dem Kunden die TAN ab und macht genauso weiter wie bei der Sparkasse.
Nö,
ohne Bestätigung den Anmeldung auf meinem Smartphone kann ich mich nicht Online bei der DKB anmelden.
Mag sein, dass es am bei der DKB genutzten TAN-Verfahren liegt. Aber die DKB bietet 2FA offenbar zumindest beim Einloggen ins Online-Banking an.
Beim Sparkassen-Online-Banking meiner Partnerin oder meiner Mutter kann man sich einfach so einloggen, ohne dass eine Bestätigung per 2FA nötig ist. Und zwar unabhängig davon, dass Beide unterschiedliche TAN-Verfahren nutzen.
Nö,
Beim Sparkassen-Online-Banking meiner Partnerin oder meiner Mutter kann man sich einfach so einloggen, ohne dass eine Bestätigung per 2FA nötig ist. Und zwar unabhängig davon, dass Beide unterschiedliche TAN-Verfahren nutzen.
Schade du hast es immer noch nicht verstanden!
Ja der Hacker kann sich einloggen, aber er hat nur "Leserechte" ohne 2FA. Um Schreibrechte zu erhalten und damit das Konto leerzuräumen braucht er die TAN.
Sparkasse: Einloggen -> Leserechte -> TAN -> Schreibrechte
DKB, oder jede andere Bank -> Einloggen -> TAN -> Schreibrechte
Die Reihenfolge stört den Hacker nicht, er schwatzt dem Kunden die TAN ab und danach hat er sein Ziel erreicht.
Wenn der Hacker die TAN nicht bekommt bzw. den Kunden nicht dazu bringt auf seinem Smartphone die Aktion zu bestätigen, kann er nur Schauen aber nicht Handeln.
Schade du hast es immer noch nicht verstanden!
Doch, ich habe es schon verstanden.
Aber es ist halt ein Unterschied, wenn ich einen Anruf von einem 'Bankmitarbeiter' bekomme, der mir am Telefon meine letzten Kontobewegungen aufzählen kann und mich auf Grund eines 'Hackerangriffs' auf mein Konto zu einer TAN-Aktion auffordert. Gerade etwas unbedarfte Kunden können dann in Panik eben doch eine TAN-Aktion ausführen.
Es ist schon klar, dass der Kunde letztlich das schwächste Glied ist. Aber es sollte 2023 einfach nicht möglich sein, dass man ohne 2FA überhaupt ins Online-Banking irgendeiner Bank kommt!
Also bei der DKB musst du dann aber dem Kunden mehrmals die TAN abschwatzen. Denn nahezu jede weitergehende Aktion benötigt erneut eine TAN.
Bei NOSPA und HASPA lese ich aber beim Online-Banking von pushTAN und chipTAN? Kann man das wirklich umgehen?
Nein, kann man nicht. Bei Chip Tan kann nur etwas passieren, wenn du am Telefon deine tan verrätst oder der Betrüger an deine physische Karte gelangt ist. Selbst das nützt ihm ohne Mithilfe des Opfers nichts, da er das onlinebanking Kennwort nicht kennt.
Auch sehr wichtig: der Login muss nicht zwingend die Kontonummer sein! Bei der Sparkasse lässt sich der Login individuell festlegen.
Selbst physische Karte + Kennwort würde nichts nutzen, wenn der Loginname unbekannt ist. Viele Sparkassen raten mittlerweile dazu den Loginnamen individuell zu gestalten.
Für pushtan gilt im Grunde das gleiche. Ohne massive Mithilfe des Opfers hat der Betrüger keine Chance.
Ich kann es auch langsam nicht mehr hören. Jede Woche steht mindestens ein Fall in der Tageszeitung. Mittlerweile sollte jeder sensibilisiert sein.
Ich kann es auch langsam nicht mehr hören. Jede Woche steht mindestens ein Fall in der Tageszeitung. Mittlerweile sollte jeder sensibilisiert sein.
Ich sag meiner Mutter fast jedes mal, wenn ich Sie sehe, dass Sie sich bei jeder Merkwürdigkeit mit dem Computer oder bei komischen Anrufen bei mir melden soll.
Wir werden alle mal Älter und hoffentlich auch mal richtig alt!
